Um indivíduo que se apresenta como PacketSlut colocou à venda, num fórum especializado, alegado acesso integral à infraestrutura de nuvem da Claro. O anúncio, publicado após um suposto ataque realizado a 29 de julho, inclui promessa de acesso a bases de dados, sistemas internos e credenciais que, segundo o vendedor, poderiam expor informações de cerca de 80 milhões de clientes.
Oferta de 30 mil XMR por acesso à AWS
No texto de venda, o cibercriminoso afirma disponibilizar “a chave de ouro” para a operação em nuvem da operadora latino-americana. O pacote inclui permissões de administrador em serviços AWS, VMware, SSH e API internas, além de buckets S3 com registos de faturação e configurações. Também são mencionados repositórios de código, sistemas de fila de mensagens (SQS) e ficheiros de configuração geridos por Terraform.
O valor pedido pelo alegado acesso é de 30 000 Monero (XMR), o equivalente a aproximadamente nove milhões de reais. No anúncio, PacketSlut sublinha que se trata de “comprometimento profundo” com múltiplos vetores que facilitariam ransomware, exfiltração de dados ou espionagem prolongada.
Contradições do alegado invasor
Em contacto posterior, o próprio criminoso relativizou a dimensão do ataque. Disse não ser “um hacker especialista” e descreveu o incidente como resultado de “credenciais descuidadas de um funcionário experiente”. Garantiu ainda que nenhum registo de clientes foi descarregado e que o objetivo era apenas vender o acesso, não os dados.
No entanto, o anúncio inicial realça precisamente o potencial de exploração de “vastos dados de clientes e fluxos de receita críticos”. A incongruência levanta dúvidas sobre a real extensão da intrusão e a veracidade das informações oferecidas.
Indícios apresentados
Para atrair compradores, PacketSlut partilhou capturas de ecrã que aparentam mostrar navegação em contas AWS da Claro, incluindo listagem de buckets e variáveis de ambiente. Até ao momento, não foram divulgadas provas independentes que confirmem transferência de dados pessoais.
O hacker alega ter encontrado credenciais expostas na internet e admite ter utilizado ferramentas de linguagem, como o ChatGPT, para redigir os anúncios. Também confessa não possuir histórico de transações na dark web, classificando a tentativa de venda como a sua “primeira experiência” nesse meio.
Resposta da Claro ainda pendente
Questionada sobre a alegada violação, a Claro não forneceu esclarecimentos até à publicação deste texto. Permanecem, portanto, sem confirmação oficial:
Imagem: tecmundo.com.br
- Se ocorreu acesso não autorizado aos recursos AWS da operadora;
- Se houve exposição de dados de clientes ou apenas de sistemas internos;
- Se a intrusão resultou de falha de prestador externo ou de credenciais negligenciadas internamente.
O silêncio da empresa deixa em aberto a dimensão do incidente e eventuais medidas de contenção ou notificação aos utilizadores.
Riscos para os clientes
Caso o acesso divulgado seja genuíno, a possibilidade de consulta ou extração de bases de dados com informação pessoal representa risco significativo: fraudes, campanhas de phishing e ataques de engenharia social poderiam aumentar. Mesmo na ausência de provas de download, a simples exposição de credenciais Amazon Parameter Store, referida pelo atacante, facilita novas intrusões por terceiros.
Contexto e próximos passos
A venda de acessos corporativos completos tornou-se prática recorrente em fóruns de cibercrime. Alvos com grande volume de clientes, como operadoras de telecomunicações, são especialmente procurados devido ao valor comercial dos dados. Investigadores de segurança acompanham o caso para avaliar se outras partes adquirem a oferta ou divulgam amostras adicionais que confirmem o alegado contorno da infraestrutura.
Enquanto isso, especialistas recomendam a utilizadores da Claro:
- Monitorizar extratos bancários e comunicações suspeitas;
- Actualizar palavras-passe e activar autenticação multifator sempre que possível;
- Verificar se endereços de e-mail aparecem em bases de dados comprometidas.
Resta aguardar esclarecimentos oficiais da Claro e eventuais comunicações de entidades reguladoras sobre possíveis compromissos de dados pessoais.
Olá! Meu nome é Zaira Silva e sou a mente inquieta por trás do soumuitocurioso.com.
Sempre fui movida por perguntas. Desde pequena, queria saber como as coisas funcionavam, por que o céu muda de cor, o que está por trás das notícias que vemos todos os dias, ou como a tecnologia está transformando o mundo em silêncio, aos poucos. Essa curiosidade virou meu combustível — e hoje, virou um blog inteiro.